แฮกเกอร์โจมตีผู้ใช้งานในฮ่องกงจากช่องโหว่ของ macOS

hackers-exploit-macos-zero-day-to-hack.png

            นักวิจัยจากกูเกิ้ลเปิดเผยเมื่อวันพฤหัสบดีที่ 11 พฤศจิกายน พ.ศ 2564 พบจากการโจมตี watering hole ที่เป็น zero-day มีผลกับระบบปฏิบัติการ macOS ซึ่งมุ่งเป้าโจมตีไปยังผู้ที่เข้าใช้งานกลุ่มเว็บไซต์ที่เป็นสื่อและการเมืองของประเทศฮ่องกง โดยการฝั่งโค้ดอันตรายในเว็บไซต์ก่อนทำการติดตั้ง Backdoor ในเครื่องผู้ใช้งานกลุ่มเว็บไซต์ดังกล่าวในช่วงปลายเดือนสิงหาคม พ.ศ. 2564

            ทีมนักวิจัย Google Threat Analysis Group (TAG) โดยคุณ Erye Hernandez ได้กล่าวในรายงานถึงคุณภาพในการทำ Payload ซึ่งเป็นหลักฐานที่ทำให้เชื่อได้ว่าเป็นการสนับสนุนจากภาครัฐ

บริษัท Apple ได้ทำการอัปเดตด้านความมั่นคงปลอดภัยให้กับ macOS Big Sur ในวันที่ 1 กุมภาพันธ์ พ.ศ. 2564 และอัปเดตให้กับ macOS Catalina ในวันที่ 23 กันยายน พ.ศ. 2564 การอัปเดตที่มีระยะเวลาห่างกันถึง 234 วัน จึงเป็นช่องทางให้เกิดการโจมตีกับ macOS Catalina ได้

hackers-exploit-macos-zero-day-to-hack-2.png

รูปที่ 1

อ้างอิง https://thehackernews.com/

            จากรูปที่ 1 การโจมตีที่ตรวจพบโดย TAG พบการใช้ 2 ช่องโหว่เพื่อทำงานร่วมกันโดยใช้ช่องโหว่ CVE-2021-1789[1] ที่เป็นการโจมตีระยะไกลอาศัยจุดบกพร่องของ WebKit และใช้ช่องโหว่ CVE-2021-30869[2] ที่มีผลกับเคอร์เนิลส์ KNU เพื่อยกระดับสิทธิ์หลังจากนั้นทำการดาวน์โหลดไฟล์ที่เป็นอันตรายที่เรียกว่า “MACMA” เพื่อสั่งควบคุมคอมพิวเตอร์ที่ตกเป็นเหยื่อจากระยะไกลโดยผู้ไม่ประสงค์ดี ส่งผลให้ผู้ไม่ประสงค์ดีสามารถ จับภาพหน้าจอ ดาวน์โหลด อัปโหลด ใช้บรรทัดคำสั่ง บันทึกเสียง รวมถึงดักจับการพิมพ์ของผู้ใช้งาน

hackers-exploit-macos-zero-day-to-hack-3.png

รูปที่ 2

อ้างอิง https://storage.googleapis.com/

            จากรูปที่ 2 เป็นตัวอย่างโค้ดที่ใช้ในการถอด Capstone[3] โดยทั่วไปแล้ว Capstone จะมีหน้าที่ใช้สำหรับวิเคราะห์ไบนารี ซึ่งผู้ไม่ประสงค์ดีได้นำมาใช้เพื่อค้นหาที่อยู่ของ dlopen และ dlsym จากหน่วยความจำ เมื่อโหลด Mach-O แบบฝังแล้ว ที่อยู่ dlopen และ dlsym ที่พบโดยใช้ Capstone จะถูกใช้เพื่อแพตช์ Mach-O ที่โหลดอยู่ในหน่วยความจำ ทำให้สามารถหลบหนีจาก Sandbox ของ Safari และยกระดับสิทธิ์ได้อีกด้วย

 

            อย่างไรก็ตามผู้ใช้งาน macOS ควรรีบทำการการอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดทันที เพื่อป้องกันการโจมตีจากผู้ไม่ประสงค์ดี ที่อาจส่งผลให้ผู้ใช้งาน macOS ตกเป็นเป้าหมายได้ เพียงแค่การเปิดใช้งานเว็บไซต์ที่เผยแพร่ทางอินเทอร์เน็ตเท่านั้น

 

อ้างอิง :

ที่มา: https://thehackernews.com/2021/11/hackers-exploit-macos-zero-day-to-hack.html

ที่มา: https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits

[1]: https://support.apple.com/en-us/HT212147

[2]: https://nvd.nist.gov/vuln/detail/CVE-2021-30869

[3]: https://www.capstone-engine.org/

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 23 พฤศจิกายน 2564